Webserver mit mehreren Domains

Es muss eine Unterscheidung der Dienste stattfinden.

Für DNAT kommen verschiedene externe IP's oder Ports infrage.

Für die gleiche IP/Port Kombination kann an der Fw mit WAF gearbeitet werden. Die WAF unterscheidet anhand der Domänennamen.

Der interne Server muss natürlich auch die WebApps unterscheiden können. Das habe ich dort meist mit unterschiedliche Ports für die verschiedenen Apps gesehen.

Hallo Dirk,

ich schätze, dann wird es auf eine Web Server Protection Subscription herauslaufen. Ich habe es jetzt mal ohne probiert, aber vermutlich lässt er mich wegen HTTPS noch nicht verbinden.

Intern hat das ganze sehr gut über unseren AD-DNS-Server funktioniert, indem ich entsprechende A-Einträge erstellt habe und auf die IP des Webservers verweise (musste ich auch für die normale Homepage machen, die woanders gehostet wird, da das AD dieselbe Domain hat). 

Unterschiedliche Schnittstellen und Ports kann ich nicht verwenden.

Sehe ich das richtig, dass für jede Domain eine eigene WAF-Regel erstellt werden muss, da nur 1 Zertifikat pro Regel installiert werden kann, oder?

Trotzdem schon einmal vielen Dank!

Henrik

Henrik Seitz said:

Sehe ich das richtig, dass für jede Domain eine eigene WAF-Regel erstellt werden muss, da nur 1 Zertifikat pro Regel installiert werden kann, oder?

Hi,

du kannst aber mehrere FQHN in einem Zertifikat haben. Nur du musst halt im Backend unter Umständen unterschiedliche Web-Applikationen ansprechen. Da hilft dir das wenig.

Also meist doch für jede Web-App eine Rule.

Dein Sophos Partner kann dir sicher für ein paar Tage eine  Demo-/Test-Lizenz für WAF freischalten lassen, falls unklar ist, ob es funktioniert.

Sonst ist WAF kein Hexenwerk und einfacher zu handhaben als DNAT ...

Ich habe das ganze jetzt probiert, und der Zugriff erfolgt nun einwandfrei sowohl von intern, als auch von extern. Leider lässt sich aber die Anwendung nicht korrekt ausführen, die HTML-Forms führen (warum auch immer...) ihren Code nicht korrekt aus und leiten somit zu keiner Seite weiter. Erfolgt der Zugriff ohne Passieren der WAF, läuft es ohne Probleme. 

Ich habe mal eine Test-PHP-Datei angelegt, mit einem Form, das auf die eigene Datei verweist, und nach Klicken auf eine weitere Seite weiterleiten soll. Funktioniert auch nur ohne WAF.

Fehlt da eine Konfiguration?

Hallo DIrk,

ich habe nun eine Evaluationslizenz beantragt und das Ganze mal getestet. Die Anwendung läuft soweit gut, aber aus welchem Grund auch immer führt die Web-App HTML-Forms nicht korrekt aus. Klicke ich auf der Anmelde-Seite bspw. auf  "Anmelden", um das Form abzusenden, tut er nichts, erst nach ca. 10 Versuchen passiert was, und auch immer dann, wenn ich meinen Cache leere. Selbiges auch mit dem "Abmelde"-Button. Rufe ich den Webserver von intern, also ohne WAF auf, läuft alles ganz normal, also die SOPHOS scheint da irgendetwas zu blockieren. In den Web-Server-Protection-Logs ist nichts zu finden.
Selbst wenn ich den Web-Server-Schutz auf "Keinen" stelle, gehen fast keien Forms durch.

Woran könnte das liegen?

Schwer zu sagen,
wenn der Log-viewer / WAF nichts loggt, dann blockt er an dieser Stelle auch nichts.
Hatte das denn funktioniert, als noch DNAT eingesetzt wurde? Ist DNAT jetzt aus?
Häufig haben wir hard-/falsch codierte Servernamen oder IP's in den Aufrufen. Diese falschen Aufrufe sieht man oft in den Entwicklertools der Browser unter "Netzwerk".